Korunan konak sorunlarını giderme
Bu makalede, korunan dokunuzda korumalı bir Hyper-V konağı dağıtırken veya çalıştırırken karşılaşılan yaygın sorunların çözümleri açıklanmaktadır.
Şunlar için geçerlidir: Windows Server 2022, Windows Server 2019, Windows Server 2016
Sorununuzun doğasından emin değilseniz, olası nedenleri daraltmak için önce Hyper-V konaklarınızda korunan doku tanılamasını çalıştırmayı deneyin.
Korunan konak özelliği
Hyper-V konağınızla ilgili sorunlar yaşıyorsanız, önce Konak Koruyucusu Hyper-V Desteği özelliğinin yüklü olduğundan emin olun. Bu özellik olmadan, Hyper-V ana bilgisayarında kanıtlamayı geçirmesine ve korumalı VM'ler sağlamasına olanak sağlayan bazı kritik yapılandırma ayarları ve yazılımları eksiktir.
Özelliğin yüklü olup olmadığını denetlemek için Sunucu Yöneticisi kullanın veya yükseltilmiş bir PowerShell penceresinde aşağıdaki cmdlet'i çalıştırın:
Get-WindowsFeature HostGuardian
Özellik yüklü değilse, aşağıdaki PowerShell cmdlet'iyle yükleyin:
Install-WindowsFeature HostGuardian -Restart
Kanıtlama hataları
Konak, Konak Koruyucu Hizmeti ile kanıtlamayı geçmezse korumalı VM'leri çalıştıramaz. Bu konakta Get-HgsClientConfiguration çıktısı, bu konağın kanıtlamanın neden başarısız olduğu hakkında bilgi gösterir.
Aşağıdaki tabloda , AttestationStatus alanında görünebilecek değerler ve uygunsa olası sonraki adımlar açıklanmaktadır.
| KanıtlamaStatus | Açıklama |
|---|---|
| Süresi dolmuş | Konak daha önce kanıtlamayı geçti, ancak verildiği sistem durumu sertifikasının süresi doldu. Konak ve HGS süresinin eşitlenmiş olduğundan emin olun. |
| InsecureHostConfiguration | Konak, HGS'de yapılandırılan kanıtlama ilkeleriyle uyumlu olmadığından kanıtlamayı geçirmedi. Daha fazla bilgi için AttestationSubStatus tablosuna bakın. |
| NotConfigured | Konak, kanıtlama ve anahtar koruması için HGS kullanacak şekilde yapılandırılmamış. Bunun yerine yerel mod için yapılandırılır. Bu konak korunan bir yapıdaysa, Set-HgsClientConfiguration kullanarak HGS sunucunuzun URL'lerini sağlayın. |
| Geçirilen | Konak kanıtlamayı geçti. |
| TransientError | Son kanıtlama girişimi ağ, hizmet veya diğer geçici bir hata nedeniyle başarısız oldu. Son işleminizi yeniden deneyin. |
| TpmError | Konak, TPM'nizdeki bir hata nedeniyle son kanıtlama girişimini tamamlayamadı. Daha fazla bilgi için bkz. TPM günlükleriniz. |
| UnauthorizedHost | Korumalı VM'leri çalıştırma yetkisi olmadığından konak kanıtlamayı geçemedi. Konağın korumalı VM'leri çalıştırmak için HGS tarafından güvenilen bir güvenlik grubuna ait olduğundan emin olun. |
| Unknown | Ana bilgisayar henüz HGS ile test girişiminde bulunmadı. |
AttestationStatusInsecureHostConfiguration olarak bildirildiğinde, AttestationSubStatus alanında bir veya daha fazla neden doldurulur. Aşağıdaki tabloda, AttestationSubStatus için olası değerler ve sorunun nasıl çözüleceğini gösteren ipuçları açıklanmaktadır.
| AttestationSubStatus | Ne anlama gelir ve ne yapmalı? |
|---|---|
| Bitlocker | Konağın işletim sistemi birimi BitLocker tarafından şifrelenmez. Bunu çözmek için işletim sistemi biriminde BitLocker'ı etkinleştirin veya HGS'de BitLocker ilkesini devre dışı bırakın. |
| CodeIntegrityPolicy | Konak, bir kod bütünlüğü ilkesi kullanacak şekilde yapılandırılmamış veya HGS sunucusu tarafından güvenilen bir ilke kullanmıyor. Bir kod bütünlüğü ilkesinin yapılandırıldığından, konağın yeniden başlatıldığından ve ilkenin HGS sunucusuna kaydedildiğinden emin olun. Daha fazla bilgi için bkz. Kod bütünlüğü ilkesi oluşturma ve uygulama. |
| DumpsEnabled | Konak, HGS ilkeleriniz tarafından izin verilmeyen kilitlenme dökümlerine veya canlı bellek dökümlerine izin verecek şekilde yapılandırılmıştır. Bunu çözmek için konakta dökümleri devre dışı bırakın. |
| DumpEncryption | Konak kilitlenme bilgi dökümlerine veya canlı bellek dökümlerine izin verecek şekilde yapılandırılmıştır ancak bu dökümleri şifrelemez. Konakta dökümleri devre dışı bırakın veya döküm şifrelemesini yapılandırın. |
| DumpEncryptionKey | Konak, dökümlere izin verecek ve bunları şifreecek şekilde yapılandırılmıştır, ancak bunları şifrelemek için HGS tarafından bilinen bir sertifika kullanmıyordur. Bu sorunu çözmek için ana bilgisayarda döküm şifreleme anahtarını güncelleştirin veya anahtarı HGS'ye kaydedin. |
| FullBoot | Konak bir uyku durumundan veya hazırda bekleme durumundan devam etti. Temiz, tam önyüklemeye izin vermek için konağı yeniden başlatın. |
| Hazırda BekletmeEnabled | Konak, hazırda bekleme dosyasını şifrelemeden hazırda beklemeye izin verecek şekilde yapılandırılır ve bu, HGS ilkelerinizin izin vermediği bir durumdur. Hazırda beklemeyi devre dışı bırakın ve konağı yeniden başlatın veya döküm şifrelemesini yapılandırın. |
| HypervisorEnforcedCodeIntegrityPolicy | Konak, hiper yönetici tarafından zorlanan bir kod bütünlüğü ilkesi kullanacak şekilde yapılandırılmamış. Kod bütünlüğünün hiper yönetici tarafından etkinleştirildiğini, yapılandırıldığını ve uygulandığını doğrulayın. Daha fazla bilgi için bkz . Device Guard dağıtım kılavuzu. |
| Iommu | Konağın Sanallaştırma Tabanlı Güvenlik özellikleri, HGS ilkelerinizin gerektirdiği şekilde Doğrudan Bellek Erişimi saldırılarına karşı koruma için bir IOMMU cihazı gerektirecek şekilde yapılandırılmamış. Konağın bir IOMMU'ya sahip olduğunu, etkinleştirildiğini ve Device Guard'ın VBS başlatılırken DMA korumaları gerektirecek şekilde yapılandırıldığını doğrulayın. |
| PagefileEncryption | Konakta sayfa dosyası şifrelemesi etkinleştirilmedi. Bu sorunu çözmek için komutunu çalıştırarak fsutil behavior set encryptpagingfile 1 sayfa dosyası şifrelemesini etkinleştirin. Daha fazla bilgi için bkz. fsutil davranışı. |
| SecureBoot | Güvenli Önyükleme bu konakta etkin değil veya Microsoft Güvenli Önyükleme şablonunu kullanmıyor. Bu sorunu çözmek için Microsoft Güvenli Önyükleme şablonuyla Güvenli Önyükleme'yi etkinleştirin. |
| SecureBootSettings | Bu konak üzerindeki TPM temeli HGS tarafından güvenilenlerle eşleşmiyor. UEFI başlatma yetkilileriniz, DBX değişkeniniz, hata ayıklama bayrağınız veya özel Güvenli Önyükleme ilkeleriniz yeni donanım veya yazılım yüklenerek değiştirildiğinde bu durum oluşabilir. Bu makinenin geçerli donanımına, üretici yazılımına ve yazılım yapılandırmasına güveniyorsanız , yeni bir TPM temeli yakalayabilir ve HGS'ye kaydedebilirsiniz. |
| TcgLogVerification | TCG günlüğü (TPM temeli) alınamaz veya doğrulanamaz. Bu, konağın üretici yazılımı, TPM veya diğer donanım bileşenleriyle ilgili bir sorunu gösterebilir. Konağınız Windows'u önyüklemeden önce PXE önyüklemesini deneyecek şekilde yapılandırılmışsa, eski bir Net Boot Programı (NBP) de bu hataya neden olabilir. PXE önyüklemesi etkinleştirildiğinde tüm NBP'lerin güncel olduğundan emin olun. |
| VirtualSecureMode | Sanallaştırma Tabanlı Güvenlik özellikleri konakta çalışmıyor. VBS'nin etkinleştirildiğinden ve sisteminizin yapılandırılmış platform güvenlik özelliklerini karşıladığından emin olun. VBS gereksinimleri hakkında daha fazla bilgi için Device Guard belgelerine bakın. |
Modern TLS
Bir grup ilkesi dağıttıysanız veya Hyper-V konağınızı TLS 1.0 kullanımını önlemek için başka bir şekilde yapılandırdıysanız, korumalı bir VM'yi başlatmaya çalışırken "Konak Koruyucu Hizmeti İstemcisi arama işlemi adına anahtar koruyucusunu açamadı" hatalarıyla karşılaşabilirsiniz. Bunun nedeni, .NET 4.6'da, desteklenen TLS sürümleri HGS sunucusuyla görüşülürken sistem varsayılan TLS sürümünün dikkate alınmadığı varsayılan davranıştır.
Bu davranışı geçici olarak çözmek için aşağıdaki iki komutu çalıştırarak .NET'i tüm .NET uygulamaları için sistem varsayılan TLS sürümlerini kullanacak şekilde yapılandırın.
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:64
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:32
Uyarı
Sistem varsayılan TLS sürümleri ayarı makinenizdeki tüm .NET uygulamalarını etkiler. Kayıt defteri anahtarlarını üretim makinelerinize dağıtmadan önce yalıtılmış bir ortamda test etmeye özen gösterin.
.NET 4.6 ve TLS 1.0 hakkında daha fazla bilgi için bkz. TLS 1.0 Sorununu Çözme, 2. Sürüm.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin